Le Parlement européen a adopté le 14 avril 2016 une réforme majeure portant sur la protection des données personnelles. Plus de vingt ans après la directive 95/46/CE du 24 octobre 1995, cette réforme était particulièrement attendue. En effet, le volume de données personnelles faisant l’objet de traitements et d’une valorisation économique a connu une expansion significative, au point que ces traitements constituent aujourd’hui l’actif économique principal de certaines entreprises.
Symbole des enjeux portés par cette réforme, il aura fallu plus de quatre années de travaux et l’examen de plusieurs milliers d’amendements pour que soit enfin adopté un règlement visant à unifier la protection des données personnelles sur l’ensemble du territoire européen. En effet, contrairement à une directive, qui nécessite des mesures de transposition, le règlement sera applicable directement dans l’ensemble des 28 Etats membres à l’issu d’un délai de deux ans, voulu par le Parlement européen.
S’il est impossible de résumer en quelques lignes les apports de ce règlement de 261 pages intégralement disponible sous ce lien, notons par exemple les points suivants :
– L’article 7 précise les conditions de recueil du consentement des personnes quant au traitement de leurs données. Il est notamment prévu que « si le consentement de la personne concernée est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples ». Ce consentement doit pouvoir être retiré à tout moment, de manière aisée.
– L’article 8 vise à renforcer la protection des mineurs face aux collectes de données, prévoyant que le traitement des données à caractère personnel relatives à un enfant est licite si l’enfant est âgé d’au moins 16 ans. Si l’enfant est âgé de moins de 16 ans (13 ans est le minimum que les Etats puissent prévoir), ce traitement nécessitera l’aval des parents.
– L’article 17 détaille l’étendue du « droit à l’oubli » numérique, qui est en pratique un droit à l’effacement des données, par exemple en cas de révocation du consentement donné au responsable de traitement. Ce droit est particulièrement intéressant une fois combiné avec la portabilité des données visée à l’article 20. Cet article permet de recevoir les données à caractère personnel fournies à un responsable du traitement, « dans un format structuré, couramment utilisé et lisible par machine », ainsi que la possibilité de transmettre ces données à un autre responsable du traitement. Cela devrait permettre, par exemple, de changer aisément de prestataire de réseau social – à condition qu’une concurrence suffisante existe dans ce domaine – ceci sans perdre ses données.
– L’article 22 limite les exploitations algorithmiques de données et le profilage, mais avec une formulation qui méritera d’être éclaircie à l’avenir. En l’état, le texte précise en effet que sauf exception, « la personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire ».
– Les articles 33 et 34 renforcent les obligations de notification des violations de données personnelles (par exemple en cas de piratage informatique), tant à l’autorité de contrôle qu’à la personne concernée.
– Enfin, en cas de violation des règles applicables, la sanction maximale que la CNIL pouvait prononcer était de 150.000 euros, 300.000 euros en cas de récidive. Avec ce nouveau règlement, il sera possible d’infliger des amendes allant jusqu’à 4 % du chiffre d’affaires mondial d’une entreprise. Il s’agit probablement de la nouveauté que les entreprises relèveront en priorité, tant ce nouveau plafond pourra avoir de lourdes conséquences pour elles.
Rappelons qu’outre cette sanction, le principal enjeu pour les entreprises en cas de traitement illicite de données réside dans l’impossibilité de valoriser économiquement ces données. Ainsi, par un arrêt du 25 juin 2013, la Cour de cassation a jugé qu’un fichier incluant des données à caractère personnel non déclaré à la CNIL est une chose hors du commerce, du fait de son objet illicite. La cession de ce fichier a donc été considérée comme nulle. Par analogie, il serait parfaitement possible de considérer que la cession d’une entreprise comprenant dans son actif un fichier irrégulier serait elle-même nulle, si cet actif est un élément essentiel et déterminant dans l’esprit de l’acquéreur.
Si ce règlement européen ne bouleverse pas totalement le droit français applicable, il apporte toutefois des précisions d’importance qui doivent impérativement être prises en compte par l’ensemble des responsables de traitement. Les entreprises doivent plus que jamais se soucier de ces enjeux, sur lesquels repose une part importante de leur actif. Un audit de mise en conformité peut à cet égard utilement révéler les carences juridiques dans le traitement des données et y remédier.